Merhaba Değerli Takipçilerim,
Bu yazımda, Adli Bilişim için olmazsa olmazlardan bir tanesi olan RAM (Random Access Memory) imajının önemini ve nasıl alındığını anlatıyor olacağım. Öncelikle hepimizinde bildiği üzere RAM, geçici hafıza olarak kullanıldığından kalıcı bir depolama yapmamakta ve kendisine gelen gücün kesilmesi durumunda, üzerindeki tüm bilgileri kaybetmektedir.
RAM, bilgisayarların o an çalıştırdığı prosesleri, internet bağlantılarını, dokümanları, konsol ekranına yazılan komutları, sistemi kullanan kullanıcıları, kullanıcılara ait şifreleri ve tarayıcı geçmişleri gibi bir çok bilgiyi tutmaktadır.
Adli Bilişim açından değerlendirildiğinde ise, olay yeri müdahalesi (incident response) yapıldığında şüpheli ve açık olan bilgisayarların hemen vakit kaybedilmeden o anki RAM imajının alınması gerekmektedir çünkü o an bilgisayar üzerinde varolan şüpheli bağlantılar, malware yazılımları, o anki aktif kullanıcının kim olduğu, çalışan aktif proseslerin ne olduğu gibi bilgileri elde etmek için bu işlemi yapmak oldukça önemlidir.
Günlük yaşantımızda sürekli denk geldiğimiz Cryptolocker saldırılarında bile RAM imajı almak hayat kurtarabilecek bir öneme sahiptir çünkü Cryptolocker virüsü ile şifrelenmiş verilerin şifre çözmek için kullanılan anahtarını (key) RAM imajınan kurtarmak mümkün olabilmektedir.
Şimdi ise RAM imajını nasıl alacağımıza bakalım...
RAM imajı almak için birden fazla ücretsiz yazılım mevcut, yaygın olarak kullanılan birkaçı FTK imager, DumpIt, Ram Capturer gibi yazılım ve araçlardır.
DumpIt ile Ram İmajı Alma
DumpIt, 32 ve 64 bit Windows işletim sistemlerinin fiziksel hafızasının imajlarını almak için kullanılan ücretsiz bir araçtır. DumpIt aracı ile analiz işlemi yapılamamaktadır.
- 1. KURULUM
DumpIt’i indirmek için https://my.comae.io/login?redirect=/dashboard adresine gidilerek aşağıdaki şekilde yer alan bölümden sisteme üye olunur.
Siteye üye olunup giriş yapıldıktan sonra “Download Comae Toolkit” butonuna tıklatıp sisteminize uygun DumpIt versiyonunu indirebilirsiniz.
- 2. KULLANIMI
DumIt herhangi bir kuruluma gerek kalmadan tıkla çalıştır olarak kullanıldığından programı çift tıklayarak çalıştırabilirsiniz.
Çalıştırıldıktan sonra oluşan ekran görüntüsü aşağıdaki gibi olacaktır.
Çalışınca kullanıcıya, “Proced with the acquisition ? [y/n]” diye sormaktadır. y yazıp enter tuşuna basıldığından RAM imajını DumIt klasörünün içerisine almaya başlayacaktır. Oluşan örnek ram imajı aşağıdaki şekilde görülmektedir.
Oluşan .dmp uzantılı RAM imajını Volatility gibi ram imajı inceleme araçları ile ücretsiz olarak inceleyebilirsiniz. Volatility ile RAM imajı incelemeyi bir sonraki yazımda sizlere anlatıyor olacağım...
Umarım sizler için faydalı bir anlatım olmuştur. Bir sonraki yazımda tekrar görüşmek üzere... Esenle kalın...